naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten...
TRANSCRIPT
Naar een dienstgeoriënteerde architectuur en het
gemeenschappelijk gebruik van basisdiensten
Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
2Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Plan van de uiteenzetting
interoperabele ICT op basis van een dienst-georiënteerde architectuur (service oriented architecture – SOA)
overzicht van een aantal aangeboden basisdiensten- gebruikers- en toegangsbeheer- ticketing en ontvangstmedling- persoonlijke pagina’s- logging- customer relationship management (CRM)
status questionis inzake aanvaarde mandaten om op te treden namens ondernemingen en burgers
3Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Interoperabele ICT
dienstgeoriënteerde architectuur (SOA – Service Oriented Architecture)
gelaagd gebaseerd op open standaarden of minstens open
specificaties gebaseerd op componenten modulair flexibel uitbreidbaar veilig
4Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Dienstgeoriënteerde architectuur
“Service Oriented Architecture (SOA) is a paradigm for organizing and utilizing distributed capabilities that may be under the control of different ownership domains. It provides a uniform means to offer, discover, interact with and use capabilities to produce desired effects consistent with measurable preconditions and expectations. Enterprise architects believe that SOA can help businesses respond more quickly and cost-effectively to the changing market conditions. This style of architecture promotes reuse at the macro (service) level rather than micro levels (eg. objects). It also makes interconnection of existing IT assets trivial.” (OASIS Reference Group)
5Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gelaagde architectuur
BasisdienstenBasisdiensten
ToepassingenToepassingen
PresentatiePresentatie
BusinessdienstBusinessdienstenen
GegevensGegevens
6Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Open specificaties en open standaarden
open specificatie: specificatie die voldoende is om een volledig functionerende toepassing te schrijven en vrij is van juridische beperkingen die de verspreiding en het gebruik bemoeilijken
open standaard: open specificatie die goedgekeurd is door een onafhankelijke standaardenorganisatie
voornaamste internationale, onafhankelijke standaardenorganisaties- International Organization for Standardization (ISO) (
http://www.iso.org)- World Wide Web Consortium (W3C) (http://www.w3.org)- OASIS (http://www.oasis-open.org)
7Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Open specificaties en open standaarden
voorbeelden- karaktersets- interconnectie- uitwisseling van berichten- uitwisseling van documenten- opslag van berichten- opslag van documenten- compressie van documenten- beveiliging
zie bijvoorbeeld http://www.ksz.fgov.be/documentation/nl/documentation/ Pers/OpenstandaardenNL_FEDICT.pdf
8Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Componenten
welafgebakende, autonoom functionerende componenten die op basis van een dienstgeoriënteerde architectuur onderling en met
externe componenten interopereren via open standaarden zodat een maximale flexibiliteit bestaat
- om andere componenten aan te sluiten
- om componenten toe te voegen
- om componenten te vervangen door andere componenten
- om componenten te hergebruiken voor andere doeleinden in functie van
- de evoluerende behoeften
- de evoluerende technologische mogelijkheden zonder impact op de bestaande componenten met beroep op open concurrentie voor de uitbouw van de aan te sluiten,
toe te voegen of te vervangen componenten
9Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gegevens en informatie
persoonsgegevens- volgens taakverdeling opgeslagen en beheerd in onderling
complementaire authentieke gegevensbanken
niet-persoonsgebonden informatie- modulair en up to date opgeslagen in algemeen
toegankelijke content management systemen- met gestandaardiseerde metadata, gebaseerd op
gestandaardiseerde thesauri- met scheiding van inhoud, metadata en vorm (hergebruiken,
niet herschrijven)- onderwerpbaar aan automatische reïndexatie
10Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gegevens en informatie
beleids- en onderzoeksondersteunende informatie- door samenbrengen van gegevens uit operationele systemen
in datawarehouses- met benaderingsmogelijkheden van gegevens via
verschillende dimensies en granulariteitsgraden- met krachtige exploratie-, analyse- en visualisatietools- bij voorkeur in real time (on line analytical processing –
OLAP)
11Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Basisdiensten
componenten die een generieke dienst aanbieden aan elke businessdienst die ze wil gebruiken
toegevoegde waarde- besparing op ontwikkelings- en exploitatiekost: develop once,
use many- biedt de ontwikkelaars van businessdiensten en
toepassingen de mogelijkheid om zich op de businessdiensten te concentreren
- coherentie voor de gebruikers over de onderscheiden toepassingen heen
- vergemakkelijkt het aanbod en de monitoring van processen en procesketens
12Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Basisdiensten
gebruikers- en toegangsbeheer voor burgers, ondernemingen en beroepsbeoefenaars
elektronische handtekening transformatie van formaten ticketing en ontvangstmelding time stamping routing statusbeheer orchestratie logging persoonlijke pagina’s customer relationship management (CRM) ...
13Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Basisdiensten
user & access
mgt
electronic signature
ticketing/
receipt
transfor-mation
…orches-tration
loggingpersona
lpages
14Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Businessdiensten en toepassingen
ontwikkeling van businessdiensten door coördinatie van componenten en gebruik van de basisdiensten
ontwikkeling van toepassingen afgestemd op de behoeften van de onderscheiden soorten gebruikers door coördinatie van businessdiensten
waarbij dezelfde componenten en basisdiensten kunnen worden gebruikt worden voor het ontwikkelen van verschillende businessdiensten, en dezelfde businessdiensten voor het ontwikkelen van verschillende toepassingen
15Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Toepassingen
Application Application Application
OrchestrationOrchestration Enterprise Application Integration
Exposed services
Consulted services
Application Application Application
Enterprise Service Bus
Clients
Providers
16Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Toepassingsintegratie via web services
Web service: softwarecomponent die een eenduidig zelfbeschreven functionaliteit aanbiedt en gedistribueerd aangeroepen wordt door gebruik te maken van standaard internettechnologie
web servicesrepository(WSDL)
web servicesclient
web servicesprovider
UDDI (registratie web service)(opzoeken web service) UDDI
XML/SOAP
XML/SOAP XML/SOAP
17Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Toepassingsintegratie in federale overheid
middlewareomgevingen- Enterprise Application Integration omgeving in sociale sector,
beheerd door de Kruispuntbank van de Sociale Zekerheid- Universal Messaging Engine (FEDICT), met evolutie naar
Federal Service Bus- CommunicatieCentrum van de Federale Fiscaliteit (CCFF) in
uitbouw in de FOD Financiën- Enterprise Application Integration omgeving in uitbouw in de
FOD Justitie in het kader van het Fenix-project onderling verbonden netwerken
- extranet van de sociale zekerheid tussen instellingen van sociale zekerheid
- FEDMAN tussen federale overheidsdiensten- extranets van andere overheidsniveaus- internet en daarop virtuele private netwerken
18Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Presentatie-integratie: portaalsites
web sites
met geïntegreerde presentatie van- informatie, bij voorkeur beheerd in content management
systemen- transacties
met single log on of single sign on
eventueel ondersteund door customer relationship management tools
19Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Presentatie-integratie: portaalsites
gepersonaliseerd, intentiegericht of doelgroepgericht- gepersonaliseerd
• look & feel en interface• inhoud (enkel relevante informatie en transacties)• gepersonaliseerde ondersteuning, bvb.
– gebruik van beschikbare persoonsgegevens– contextgevoelige hulp aangepast aan de gebruiker (bvb. tekst,
mondelinge uitleg, hulp bij het gebruik van elektronische devices, procesbegeleiding, ...)
– eigen taal– aangepast vocabularium– on-line simulaties
- intentie- of doelgroepgericht• gebeurtenissen (vb. geboorte, huwelijk, opstart van een bedrijf, ...)• levensdomeinen (vb. cultuur, sport, ...)• sociale status (vb. werknemer, werkloze, gepensioneerde, ...) of
bedrijfssector• doelgroepen
20Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Portaalsites: niet
gebruikers•burgers•ondernemingen
leveranciers
partners
personeeltussenpersonen
PORTAL A•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie
back-endsystemen, vb.•ERP•groupware•DB’s•toepassingen
transactiescontent
management
gebruikers-beheer
PORTAL B•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie
back-endsystemen, vb.•ERP•groupware•DB’s•toepassingen
contentmanagement
transacties
gebruikers-beheer
21Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Portaalsites: wel
klanten•burgers•ondernemingen
leveranciers
partners
personeeltussenpersonen
back-endsystemen, vb.•ERP•groupware•DB’s•toepassingen
contentmanagement
transacties
PORTAL A•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie
back-endsystemen, vb.•ERP•groupware•DB’s•toepassingen
transacties contentmanagement
gebruikers-beheer
gebruikers-beheer
PORTAL B•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie
22Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Presentatie-integratie: contact center
multimodaal bereikbaar: telefoon, e-mail, formulier op portaal, …
ondersteund door customer relationship management tool
OISZ
TelefoonE-mail
Internet@
Contactcenter Eranova
FOD
Intern
23Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Netwerk van dienstenintegratoren
InternetInternet
Extranetgewest of
gemeenschap
Extranetgewest of
gemeenschap
FedMANFedMAN
Diensten-cataloog
FOD
FOD
FOD
ISZ
ISZ
Diensten-cataloog
Extranetsociale
zekerheid
ISZ
GOD
GOD
Diensten-cataloog
VPN, Publilink, VERA, …
VPN, Publilink, VERA, …
Stad Provincie
Gemeente
Diensten-cataloog
Diensten-integrator(FEDICT)
Diensten-integrator
(KSZ)
Diensten-integrator
24Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Netwerk van dienstenintegratoren
soorten uitgewisselde informatie- gestructureerde gegevens- documenten- beelden- multimedia- metadata- business processen
op basis van web service technologie
25Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Netwerk van dienstintegratoren
mogelijke taken van een dienstenintegrator (KSZ, FEDICT, …)- organisatie gegevensbeheer, basis- en businessdiensten,
toepassingsintegratie en presentatie-integratie- organisatie veilig interoperabiliteitsframework- gebruikers- en toegangsbeheer
• lijst van gebruikers (mensen, ondernemingen, toepassingen, …)• bepaling van mogelijke authentiseringsmiddelen voor elke dienst• beheer van autorisaties
– welke dienst is toegankelijk voor welke type van gebruiker m.b.t. welke personen/ondernemingen in welke hoedanigheden in welke situatie en m.b.t. welke periode
• preventieve controle op naleving van de autorisaties• logging van uitwisseling van persoonsgegevens
26Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Netwerk van dienstenintegratoren
mogelijke taken van een dienstenintegrator- beheer van een verwijzingsrepertorium
• welke personen/ondernemingen hebben een (elektronisch) dossier in welke hoedanigheden bij welke instanties m.b.t. welke periode
• welke informatie is beschikbaar bij een bepaalde instantie wanneer zij een dossier beheert m.b.t. een bepaalde persoon/onderneming in een bepaalde hoedanigheid
- beheer van een repertorium van de instanties die automatisch (wijzigingen van) gegevens wensen te verkrijgen
• welke instanties wensen welke gegevens automatisch te verkrijgen in welke situaties m.b.t. welke personen/ondernemingen in welke hoedanigheden
27Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Naar een taakverdeling ?
federale overheid, openbare instellingen van sociale zekerheid (OISZ) die stelsels of takken beheren, gewesten en gemeenschappen- klemtoon op gegevens- en dienstenlagen, met als resultaat
businessdiensten bruikbaar door lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen
- desgewenst aanbod aan lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen van standaardomgeving voor uitbouw toepassings- en presentatielaag
28Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Enkele aangeboden basisdiensten
gebruikers- en toegangsbeheer- begrippen- opfrissing werking elektronische identiteitskaart (EID)- policy enforcement model- huidige situatie- enkele evoluties
ticketing en ontvangstmelding persoonlijke pagina’s customer relationship management (CRM)
29Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gebruikers/toegangsbeheer - begrippen
entiteit: iemand die of iets dat moet kunnen worden geïdentificeerd, zoals een natuurlijk persoon, een onderneming, een vestiging van een onderneming, een machine of een toepassing
attribuut: een deeltje informatie over een entiteit identiteit: een uniek nummer of een reeks attributen
van een entiteit dat toelaat om eenduidig te weten wie de entiteit is; een entiteit heeft één en slechts één identiteit
kenmerk: een attribuut van een entiteit, ander dan de attributen die de identiteit van de entiteit bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie, ...; een entiteit kan verschillende kenmerken hebben
30Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gebruikers/toegangsbeheer - begrippen
mandaat: een recht verstrekt door een geïdentificeerde entiteit aan een andere geïdentificeerde entiteit om in zijn naam en voor zijn rekening welbepaalde juridische handelingen te stellen
registratie: het proces waarbij de identiteit, een kenmerk van een entiteit of een mandaat met een voldoende zekerheid wordt vastgesteld, vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd
31Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gebruikers/toegangsbeheer - begrippen
authenticatie van de identiteit: het proces waarbij wordt nagegaan of de identiteit die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, de juiste identiteit is; authenticatie van een identiteit kan geschieden op basis van een controle- van kennis (vb. een paswoord)- van een bezit (vb. een certificaat op een elektronisch
leesbare kaart)- van biometrische eigenschappen- van een combinatie van één of meerdere van deze middelen
32Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gebruikers/toegangsbeheer - begrippen
verificatie van een kenmerk of een mandaat: het proces waarbij wordt nagegaan of een kenmerk of een mandaat die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, effectief een kenmerk of een mandaat van deze entiteit is; verificatie van een kenmerk of een mandaat kan geschieden op basis van- dezelfde soort middelen als deze gebruikt voor de
authenticatie van de identiteit- na authenticatie van de identiteit van een entiteit, door de
raadpleging van een gegevensbank waarin kenmerken of mandaten m.b.t. een geïdentificeerde entiteit worden opgeslagen
33Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Gebruikers/toegangsbeheer - begrippen
autorisatie: een toelating voor een entiteit om een welbepaalde actie te verrichten of een welbepaalde dienst te gebruiken
autorisatiegroep: een groep van autorisaties rol: een groep van autorisaties of autorisatiegroepen
gerelateerd aan een welbepaalde dienst role based access control (RBAC): een methode
waarbij de toewijzing van autorisaties aan entiteiten geschiedt via autorisatiegroepen en rollen, om het beheer van de autorisaties en de toewijzing ervan aan entiteiten administratief te vereenvoudigen
Entiteit
Autorisatie(groep)
Rol
Dienst
34Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Elektronische identiteitskaart
35Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Elektronische identiteitskaart (EID)
weerhouden functies- visuele en elektronische identificatie van de houder- elektronische authenticatie van de identiteit van de houder
d.m.v. techniek van digitale handtekening- plaatsen van elektronische handtekening d.m.v. techniek van
digitale handtekening
geen opslag van andere elektronische gegevens, maar bevorderen van gecontroleerde toegang tot gegevens via netwerken, met elektronische identiteitskaart als toegangsinstrument- vermijden van perceptie van kaart als ‘big brother’- vermijden van verlies van veel gegevens bij verlies van de
kaart- vermijden van nood tot veelvuldige updating van de kaart
CA CA
publieke sleutel publieke sleutel
digitale handtekening
36Kruispuntbank van de Sociale Zekerheid 04/07/2006
37Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
EID – enkele begrippen
authenticatiecertificaat: authenticatie van identiteit – gebruik vereist ingave van paswoord, eenmaal per sessie
handtekeningcertificaat: plaatsen van juridisch geldige elektronische handtekening – gebruik vereist ingave van paswoord telkens een elektronische handtekening wordt geplaatst
gemeenten vervullen de functie van registratie-autoriteit (RA): ‘loket' waar certificaat wordt aangevraagd en dat nagaat of opgegeven identiteit juist is; zo ja, keurt ze aanvraag goed, en meldt dit aan certificatie-autoriteit
38Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
EID – enkele begrippen
Certipost vervult de functie van certificatie-autoriteit (CA): produceert op basis van de informatie die ze van de RA heeft verkregen een certificaat, dat ze verbindt met een sleutelpaar en dat aangeeft wat dat sleutelpaar voortaan bewijst, en beheert dat certificaat
39Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
EID
1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public
key match?
Matching triplet?
CRL
Alice
Alice
hash
Bob
3, 4
2
1 7
6
5
8
1. Compose message 3. Generate signature 5. Collect certificate2. Compute hash 4. Collect signature 6. Send message
Alice
hash
Alice
1
2
3
5 4
6
40Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
EID
EID- elektronische identificatie en authenticatie van de identiteit van de
natuurlijke personen ouder dan 12 jaar die zijn ingeschreven in de bevolkingsregisters
- elektronische handtekening van die personen nog nood aan een oplossing voor de elektronische identificatie
en de authenticatie van de identiteit van de personen- jonger dan 12 jaar- die niet in de bevolkingsregisters ingeschreven zijn
aanvullingen zijn ook nodig voor een volledig, geïntegreerd gebruikersbeheer, bvb.- verificatie van relevante kenmerken (vb. geneesheer, notaris, …)
van een natuurlijke persoon- verificatie van een mandaat tussen een rechtspersoon of natuurlijke
persoon waarop een elektronische dienst betrekking heeft en de persoon die deze dienst gebruikt
- autorisaties tot het gebruik van de diensten
41Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Policy Enforcement Model
Gebruiker
Policy
Toepassing
(PEP )
Toepassing
Policy
Beslissing (PDP )
Actie op
toepassing Beslissingsaanvraag
Beslissingsantwoord
Actieop
toepassingTOEGESTAAN
Policy Informatie
(PIP )
InformatieVraag /
Antwoord
Policy Autorisatie
(PAP )
OphalenPolicies
Authentieke bron
Policy Informatie
(PIP )
InformatieVraag /
Antwoord
Policy
repository
Actieop
toepassingGEWEIGERD
Beheerder
Autorisatiebeheer
Authentieke bron
42Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Policy Enforcement Point (PEP)
onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving
de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen
toegang verlenen tot de toepassing en relevante credentials meegeven
GebruikerPolicy
Toepassing (PEP)
Toepassing
PolicyBeslissing (PDP)
Actie op
toepassing Beslissingsaanvraag
Beslissingsantwoord
Actieop
toepassingTOEGESTAAN
Actieop
toepassingGEWEIGERD
43Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Policy Decision Point (PDP)
op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP)
de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP)
de autorisatiebeslissing (permit/deny/not applicable) nemen en doorsturen naar het PEP
Policy Toepassing
(PEP)
PolicyBeslissing (PDP)
Beslissingsaanvraag
Beslissingsantwoord
Policy Informatie (PIP)
Vraag / Antwoord
Policy Autorisatie(PAP)
OphalenPolicies
Policy Informatie (PIP)
InformatieVraag /
Antwoord
Informatie
44Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Policy Administration Point (PAP)
omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing
ter beschikking stellen van de autorisation policies aan het PDP
PDPPAP
OphalenPolicies
Beheerder
Autorisatiebeheer
Policyrepository
45Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Policy Information Point (PIP)
ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten, …)
PDP
PIP 1
InformatieVraag/Antwoord
Authentieke bron
PIP 2
Authentieke bron
InformatieVraag/Antwoord
46Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Principe van "cirkels van vertrouwen" doel
- vermijden van onnodige centralisatie- vermijden van onnodige bedreigingen voor de bescherming van de
persoonlijke levenssfeer- vermijden van meervoudige identieke controles en opslag van
loggings methode: taakverdeling tussen de bij elektronische dienst-
verlening betrokken instanties met duidelijke afspraken inzake- wie welke authenticaties, verificaties en controles verricht aan de
hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is
- hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld
- wie welke loggings bijhoudt- hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van
een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt
47Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie – algemene principes
er wordt een onderscheid gemaakt tussen 4 doelgroepen- burgers- medewerkers van de instellingen van sociale zekerheid (ISZ)- ondernemingen- andere actoren betrokken bij de sociale sector
de beschikbare informatie en transacties zijn ingedeeld op basis van een risico-analyse, en de vereiste procedures van registratie en authenticatie van de identiteit zijn afhankelijk van het vereiste niveau van veiligheid- 5 niveaus voor burgers en medewerkers van de instellingen
van sociale zekerheid - 4 niveaus voor ondernemingen (geen apart niveau met
gebruik van tokens)
48Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie burgers
een burger krijgt op heden enkel toegang tot- openbare informatie en transacties- niet-openbare transacties m.b.t. zichzelf
dus enkel nood aan- registratie van de identiteit- authenticatie van de identiteit op een niveau aangepast aan
de graad van gevoeligheid van de transactie
(vooralsnog) geen- verificatie van kenmerken- verificatie van mandaten- beheer van autorisaties
49Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie burgers
Niv Registratie identiteit Authenticatie
identiteit
Toepassingen
0 geen geen openbare info/transacties
1 online door ingave Rijksregister-nummer, nummer identiteitskaart en nummer SIS-kaart
gebruikersnummer en paswoord gekozen door gebruiker
info/transacties van lage gevoeligheid
logging
2 niveau 1 + verzending e-mail met activerings-url naar door burger opgegeven e-mailadres en verzending papieren token naar hoofdverblijfplaats burger in Rijksregister
niveau 1 + ingave van 1 aleatoir gevraagde string vermeld op het token (bevat 24 strings)
info/transacties van gemiddelde gevoeligheid
logging
3 fysieke aanmelding bij de gemeente voor verwerving EID
authenticatie-certificaat op EID + paswoord per sessie
info/transacties van hoge gevoeligheid
logging
4 fysieke aanmelding bij de gemeente voor verwerving EID
authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie
transacties die elektronische handtekening vereisen
50Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Token
51Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie medewerkers ISZ
registratie en authenticatie van de identiteit- idem als voor burgers- bij niveau 2 wordt het token evenwel opgestuurd naar de
veiligheidsconsulent van de instelling van sociale zekerheid waarvan de betrokkene een medewerker is en door die veiligheidsconsulent aan de medewerker overhandigd
registratie kenmerk van medewerker van een instelling van sociale zekerheid- ingave door de veiligheidsconsulent van de betrokken
instelling van sociale zekerheid in een PIP bij FEDICT (in de toekomst in de sociale sector)
52Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie medewerkers ISZ
verificatie kenmerk van medewerker van een instelling van sociale zekerheid- raadpleging PIP bij FEDICT (in de toekomst in de sociale
sector)- indien gebruik van token, ook aleatoir gevraagde string
vermeld op het token registratie autorisatie
- ingave door de veiligheidsconsulent van de betrokken instelling van sociale zekerheid in de PAP bij SmalS-MvM (voor portaal) of bij de KSZ (voor diensten aangeboden door de KSZ) (in de toekomst integratie van beide PAP’s)
verificatie autorisatie- raadpleging van autorisatie in PAP bij SmalS-MvM of bij de
KSZ op basis van de informatie die na de raadpleging van de PIP wordt doorgegeven
53Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Registratie
vakantiekas 1
Min van Financiiën
Sociale zekerheidagency
department RJVvakantiekas 1
RJVvakantiekas 2
RJVvakantiekas 3
registratie autorisatie(PAP’s SmalS-MvM en KSZ)
KSZ
RJV
vakantiekas 2 vakantiekas 3
Min van Financiën
registratie medewerker instelling sociale zekerheid(PIP FEDICT)
RJV NIC
NIC
54Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie ondernemingen
Niv Registratie identiteit Authenticatie
identiteit
Toepassingen
0 geen geen openbare info/transacties
1 lokale beheerder: brief vanwege de onderneming waarvoor de betrokkene als lokale beheerder optreedt
andere medewerkers: validatie door de lokale beheerder
gebruikersnummer en paswoord
info/transacties van lage gevoeligheid
logging
2 fysieke aanmelding bij de gemeente voor verwerving EID
authenticatie-certificaat op EID + paswoord per sessie
info/transacties van hoge gevoeligheid
logging
3 fysieke aanmelding bij de gemeente voor verwerving EID
authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie
transacties die elektronische handtekening vereisen
55Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie ondernemingen
registratie mandaat en autorisatie om namens een onderneming/dienstverlener info/transacties te gebruiken- ingave door RSZ in eigen PIP van
• mandaat van een lokale beheerder van een onderneming om in naam en voor rekening van een onderneming gebruik te maken van beveiligde info/transacties
• mandaat van dienstverlener (erkend sociaal secretariaat of andere dienstverlener) om in naam en voor rekening van een onderneming gebruik te maken van beveiligde info/transacties
• mandaat van een lokale beheerder van een dienstverlener om in naam en voor rekening van een dienstverlener gebruik te maken van beveiligde info/transacties
- ingave door de lokale beheerder van een onderneming/dienstverlener in PIP van RSZ van
• mandaat van andere aangestelden van een onderneming/dienstverlener om in naam of voor rekening van een onderneming/dienstverlener gebruik te maken van alle of bepaalde beveiligde info/transacties
56Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie ondernemingende onderneming wordt vertegenwoordigd door een natuurlijk persoon, de lokale beheerder, waarvan zij de identiteit schriftelijk meedeelt aan de RSZ
de RSZ kent aan de lokale beheerder een gebruikers-nummer en paswoord toe
de lokale beheerder- heeft zelf toegang tot alle beveiligde toepassingen,
naargelang het beveiligingsniveau, met het gebruikersnummer en paswoord of de EID als middel voor de authenticatie van zijn identiteit
- kan gebruikersnummers en paswoorden toekennen aan andere gebruikers binnen de onderneming om hun identiteit te authentiseren bij het gebruik van laag beveiligde info/transacties
- kan autorisaties inbrengen voor andere gebruikers binnen de onderneming
de lokale beheerder moet een persoon zijn waarvoor de onderneming uiteindelijk verantwoordelijk is en die onder het rechtstreeks gezag staat van de onderneming
- dus wel: een werknemer, de zaakvoerder, een bestuurder, ...
- maar niet: een externe boekhouder, …
Onderneming
Lokale beheerder
Gebruikers
Alleen eigen gegevens
57Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie ondernemingen
een onderneming kan via een ondertekend mandaat overgemaakt aan de RSZ een dienstverlener aanduiden, die voor haar rekening de beveiligde toepassingen mag gebruiken
de onderneming blijft de verantwoordelijke voor de verwerking in de zin van de Wet Verwerking Persoonsgegevens; de dienstverlener is een verwerker in de zin van die wet
tussen de onderneming en de dienstverlener moet dus een overeenkomst bestaan, die voldoet aan de eisen van artikel 16 Wet Verwerking Persoonsgegevens (zorgvuldige keuze, toezicht, bepalen van de voorwaarden en van de aansprakelijkheid, ...)
de dienstverlener kan een rechtspersoon (bvb. een sociaal secretariaat) of natuurlijk persoon (bvb. een boekhouder) zijn
58Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Dienstverleners van ondernemingen
Onderneming
Lokale beheerder
Gebruikers
Alleen gegevens van ondernemingen aan-gesloten bij het betrokken sociaal secretariaat
Lastgeving(RSZ-repertorium)
Sociaal secretariaat
59Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Dienstverleners van ondernemingen
Onderneming
Lokale beheerder
Gebruikers
Alleen gegevens van ondernemingen waarvoor de contractuele band geregistreerd werd
Dienstverlener
Contractuele band(RSZ-repertorium)
Rechtspersoon Natuurlijk persoon
=
60Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Veiligheidsniveaus ondernemingen zie gebruikersreglement goedgekeurd door Beheerscomité KSZ niveau 0: openbare transacteis, bvb.
- DIMONA via het portaal en de vocale server- detacheringsaanvragen- werkmelding- raadpleging werkgeversrepertorium- raadpleging inhoudingsplicht en hoofdelijke aansprakelijkheid bouwsector
niveau 1: enkel toegankelijk mits ingave gebruikersnummer en paswoord of EID, bvb.
- raadpleging van de E-box- raadpleging van het personeelsbestand- kwartaalaangifte en het doorsturen van voorstellen tot wijziging ervan via het
portaal- aangifte van sociale risico’s via het portaal
niveau 2 enkel toegankelijk mits EID- raadpleging en de wijziging van de kwartaalaangifte via het portaal- alle toepassingen via file transfer
• DIMONA• kwartaalaangifte en (voorstellen tot) wijzigingen ervan• aangiften sociale risico’s• aanvragen tot detachering (Gotot)
61Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Huidige situatie – andere actoren sociale sector
bvb. gemeenten, OCMW’s, notarissen, gerechtsdeurwaarders, …
toegang via het extranet- gebruik van gebruikers- en toegangsbeheer van de
medewerkers van de instellingen van sociale zekerheid
toegang via het internet- voorlopig gebruik van het gebruikers- en toegangsbeheer
van de ondernemingen- vanaf vierde kwartaal 2006: gebruik van het gebruikers- en
toegangsbeheer van de medewerkers van de instellingen van sociale zekerheid, indien mogelijk met externe PIP’s
62Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Welk beveiligingsniveau kiezen ?
beslissing komt primair toe aan degene die de elektronische dienst of transactie ter beschikking stelt, onder controle van het Beheerscomité van de KSZ (gebruikersreglement) en het sectoraal comité van de sociale zekerheid
in aanmerking te nemen criteria- soort verwerking: mededeling, raadpleging, wijziging, …
- personeel toepassingsgebied van de transactie: verwerking van de sociale gegevens van enkel de gebruiker of ook van andere personen
- vertrouwelijkheidsgraad van de soorten verwerkte gegevens
- homogeniteit van het veiligheidsniveau per gebruikerscategorie
- impact van de verwerking op het netwerk van de sociale zekerheid bovenop het gewenste beveiligingsniveau kan het gebruik van
de elektronische handtekening ook worden vereist om de instelling tegen elke latere betwisting te behoeden
63Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Enkele gewenste evoluties
systematische toepassing van het policy enforcement model
uitbouw van PIP m.b.t. kenmerk van medewerker van een instelling van sociale zekerheid binnen sociale sector
mogelijkheid tot gebruik van externe PAP’s en PIP’s voor bvb.- zorgverstrekkers- medewerkers van het gerecht (bvb. notarissen,
gerechtsdeurwaarders, …)- medewerkers van gemeenten- …
64Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Enkele gewenste evoluties
systematisch aanbod van eigen ontwikkelde PAP’s en PIP’s voor gebruik door derden, bvb.- medewerkende instellingen van sociale zekerheid- FOD’s en POD’s
goede coördinatie van PAP’s en PIP’s met consequente toepassing van het policy enforcement model tussen- federale overheid- sociale sector- gewesten en gemeenschappen- provinciale en lokale besturen- …
65Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Ticketing en ontvangstmelding
elke transactie krijgt een uniek nummer of ticket de toekenning van het ticket bewijst aan de gebruiker
dat de transactie werd geregisteerd het ticket wordt gebruikt om de transactie uniek te
identificeren- in de ontvangstmelding naar de gebruiker, bvb. voor
verwijzing in geval van problemen- in de logging- bij een eventueel beroep op het contact center
66Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
E-box en persoonlijke pagina’s
wat ?- beveiligde ruimte om documenten elektronisch en veilig ter
beschikking te stellen van een gebruiker- gekoppeld aan de mogelijkheid om een mail te versturen
naar de gebruikers met de vermelding dat een document ter beschikking is, met een opname van de url in de mail (push)
- documenten kunnen worden ter beschikking gesteld• ofwel door een portaaltransactie• ofwel door een instelling van sociale zekerheid, via de KSZ indien nodig
hoe toegankelijk ?- wordt automatisch gecreëerd voor elke gebruiker- toegankelijk via het portaal van de sociale zekerheid- met gebruik van systeem van gebruikers- en
toegangsbeheer
67Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
E-box en persoonlijke pagina’s
huidige situatie- E-box voor de ondernemingen
• één E-box per onderneming• gebruikers- en toegangsbeheer van ondernemingen• lokale beheerder beheert toegangen, met mogelijkheid tot selectiviteit in
functie van de toepassing die het document aanmaakt
- persoonlijke pagina voor de medewerkers van de sociale zekerheid
• één persoonlijke pagina per medewerker van een instelling van sociale zekerheid en één persoonlijke pagina per instelling
• gebruikers- en toegangsbeheer van de medewerkers van de instelingen van sociale zekerheid
• elke medewerker heeft toegang tot alle documenten op zijn persoonlijke pagina
• elke medewerker heeft toegang tot de soorten documenten op de persoonlijke pagina van zijn instelling waartoe de veiligheidsconsulent van de instelling hem toegang verleent
68Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
E-box en persoonlijke pagina’s
huidige situatie- persoonlijke pagina voor de burger
• één persoonlijke pagina per burger• gebruikers- en toegangsbeheer van de burgers• elke burger heeft toegang tot alle documenten op zijn persoonlijke
pagina• nog niet gebruikt in productie
69Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Logging
wat ?- bewaren
• welke persoon of toepassing, geïdentificeerd aan de hand van een uniek identificatienummer
• wanneer (datum en tijd)• over wie, geïdentificeerd aan de hand van het identificatienummer van
de sociale zekerheid, het KBO-nummer of het RSZ-nummer• welk bericht of welke transactie geïdentificeerd aan de hand van het
uniek ticketnummer heeft gebruikt• welke bewerking werd uitgevoerd (aanmaak, raadpleging, wijziging, lijst,
…)• met welk resultaat (OK, NOK)• geen logging van de inhoudelijk uitgewisselde gegevens !!!
de relevantie van de inhoud van de loggings behoort steeds tot de verantwoordelijkheid van de eigenaar van de toepassing in overeenstemming met de policy uitgewerkt in het Algemeen Coördinatiecomité
70Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Logging en cirkels van vertrouwen
A B C
D
LOG LOG
LOG
LOG
LOGBEHEER
DOORA
LOGBEHEER
DOORB
LOGBEHEER
DOORB
VertrouwensinstellingA
VertrouwensinstellingB
VertrouwensinstellingC & D
LOGBEHEER
DOORC
LOGBEHEER
DOORD
VOLLEDIGE LOGGIN = A + B + C / D
71Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Logging – stand van implementatie
basiscomponent SecurityLog- implementatie in de front-end van de toepassing of van een andere
basisdienst op het portaal van de sociale zekerheid- reeds gebruikt voor alle toepassingen op het portaal van de sociale
zekerheid die gebruikt worden door de medewerkers van de instellingen van sociale zekerheid
IRIS-toepassing- beschikbaar op het portaal van sociale zekerheid- raadpleging van loggings van alle portaaltoepassingen en de
GDAUT-transacties die gebruikt worden door de medewerkers van de instellingen van sociale zekerheid door (elk voor de gebruikers waarop zij toezicht uitoefenen)
• de veiligheidsconsulenten van de instellingen uit het primaire netwerk van de KSZ
• de verantwoordelijken van de sociale inspectiediensten, in het kader van beraadslaging 04/032 van het Sectoraal Comité
- met de EID als authenticatiemiddel van de identiteit van de gebruiker
72Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
IRIS-toepassing
(vragen TP +
ToepassingWeb, SEBA. et
WebservicePortaal
Toepassing op Siemens Systeem
Toepassing opStratus
Systeem
Toepassing C/S
TuxedoDiensten
Log NATREG, RIP, WREP,
DUC,...Log LATG, DMFA
Log toegang DB ATCE et
ADABAS)
Log RKW, FAO, RIP,...
Samensmelting + verwerking en invoer (SAS)
Gegevens, gebruikers,
toepassingen, instellingen, logging.
webtoepassingIRIS
Portail SZ
ToepassingSP 11
(Lotus Notes)Diensten
Log Dimona
Lotus notes)
Process creatie CD-ROM
Processvoorbereiding
Web toepassing.
(SAS)
DagelijkseHergroepering
(DMFA wekelijks)
Toegang toepassing
IRIS via
UMAF
73Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Customer relationship management
geïntegreerd beheer van de relatie met de gebruiker over de kanalen en diensten heen
gekoppeld aan gebruikers- en toegangsbeheer, basis voor een personalisatie of doelgroepbenadering en gebruik van push-mechanismen
levert feedback voor de permanente verbetering van de dienstverlening
74Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Status questionis mandaten
mandaten voor de ondernemingen worden geregeld door gebruikersreglement
mandaten voor burgers: beraadslaging nr. 95/58 van 24 oktober 1995 van het Toezichtscomité bepaalt onder welke voorwaarden een lasthebber de sociale persoonsgegevens van een natuurlijke persoon–lastgever mag meegedeeld krijgen
75Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Beraadslaging nr. 95/58
mededeling is toegelaten aan lasthebber die- beschikt die over een schriftelijke lastgeving die vermeldt
• de identificatiegegevens van de lastgever en lasthebber• de handtekening van de lastgever• de soorten sociale persoonsgegevens die de lasthebber mag verkrijgen• de doeleinden waarvoor deze gegevens door de lasthebber mogen
worden verwerkt• de duur van de lastgeving
- beschikt over een stilzwijgende lastgeving volgens de volgende voorwaarden
• de lasthebber is een belangenvereniging waarvan de lastgever lid is of waarbij de lastgever aangesloten is, bvb. een vakbond, een ziekenfonds, een vereniging van gepensioneerden, een organisatie van zelfstandigen, een vereniging van gehandicapte personen, …
• de lastgever levert het bewijs van lidmaatschap of aansluiting aan de hand van objectieve feiten, bvb. door vermelding van het aansluitingsnummer van de lastgever of andere elementen
76Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Evolutie ?
verenigingen die krachtens een stilzwijgende lasthebber willen optreden nemen leden of aangeslotenen op in een PIP
PIP van leden of aangeslotenen voldoet aan voorwaarden om aanvaard te worden binnen het systeem van de cirkels van vertrouwen
gebruikte transacties worden gelogd er wordt nagegaan of de beraadslaging nr. 95/58
moet worden aangepast
77Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
04/07/2006
Voor meer informatie
portaal van de sociale zekerheid- https://www.socialsecurity.be
websites over elektronische identiteitskaart- http://eid.belgium.be- http://www.cardreaders.be/en/default.htm
website Kruispuntbank van de Sociale Zekerheid- http://www.ksz.fgov.be
persoonlijke website Frank Robben- http://www.law.kuleuven.ac.be/icri/frobben
D@nk u !
Vragen ?
78Kruispuntbank van de Sociale Zekerheid 04/07/2006